સૌ પ્રથમ, તમામ ક્રેડિટ જાય છે @ યુકીટરુઅમાનો, કારણ કે આ પોસ્ટ પર આધારિત છે ટ્યુટોરીયલ તમે ફોરમ પર પોસ્ટ કર્યું તફાવત એ છે કે હું ધ્યાન કેન્દ્રિત કરવા જઈ રહ્યો છું આર્ક, જો કે તે કદાચ આધારિત અન્ય ડિસ્ટ્રોઝ માટે કાર્ય કરશે systemd.
ફાયરહોલ શું છે?
ફાયરહોલ, એ એક નાનો એપ્લિકેશન છે જે કર્નલ અને તેના ટૂલમાં એકીકૃત ફાયરવ .લનું સંચાલન કરવામાં અમને મદદ કરે છે iptables. ફાયરહોલમાં ગ્રાફિકલ ઇન્ટરફેસનો અભાવ છે, બધી ગોઠવણી ટેક્સ્ટ ફાઇલો દ્વારા થવી આવશ્યક છે, પરંતુ આ હોવા છતાં, રૂપરેખાંકન શિખાઉ વપરાશકર્તાઓ માટે હજી સરળ છે, અથવા અદ્યતન વિકલ્પોની શોધમાં રહેલા લોકો માટે શક્તિશાળી છે. ફાયરહોલ જે પણ કરે છે તે શક્ય તેટલું શક્ય iptables નિયમોની રચનાને સરળ બનાવવા અને અમારી સિસ્ટમ માટે સારા ફાયરવ .લને સક્ષમ કરવા માટે છે.
સ્થાપન અને રૂપરેખાંકન
ફાયરહોલ સત્તાવાર આર્ક ભંડારોમાં નથી, તેથી અમે તેનો સંદર્ભ લઈશું ઔર.
yaourt -S firehol
પછી આપણે ગોઠવણી ફાઇલ પર જઈએ.
sudo nano /etc/firehol/firehol.conf
અને અમે ત્યાં નિયમો ઉમેરીએ છીએ, તમે ઉપયોગ કરી શકો છો estas.
દરેક સ્ટાર્ટઅપ માટે ફાયરહોલને સક્રિય કરતા રહો. સિસ્ટમ્ડ સાથે ખૂબ સરળ.
sudo systemctl enable firehol
અમે ફાયરહોલ શરૂ કર્યો.
sudo systemctl start firehol
છેવટે અમે ચકાસીએ છીએ કે iptables નિયમો બનાવવામાં આવ્યા છે અને યોગ્ય રીતે લોડ થયા છે.
sudo iptables -L
IPv6 ને અક્ષમ કરો
જેમ કે ફાયરહોલ સંભાળતું નથી ip6 ટેબલ્સ અને કારણ કે આપણા મોટાભાગના કનેક્શંસને સમર્થન નથી IPv6, મારી ભલામણ તેને અક્ષમ કરવાની છે.
En આર્ક અમે ઉમેરો ipv6.disable = 1 / etc / default / grub ફાઈલમાં કર્નલ લાઇન પર
...
GRUB_DISTRIBUTOR="Arch"
GRUB_CMDLINE_LINUX_DEFAULT="rw ipv6.disable=1"
GRUB_CMDLINE_LINUX=""
...
હવે આપણે ફરીથી જનરેટ કરીએ છીએ grub.cfg:
sudo grub-mkconfig -o /boot/grub/grub.cfg
En ડેબિયન સાથે પૂરતું:
sudo echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/disableipv6.conf
મને સમજાતું નથી. શું તમે ટ્યુટોરીયલને અનુસરો છો અને તમારી પાસે ફાયરવ runningલ પહેલેથી જ ચાલુ છે અને બધા કનેક્શન્સ અવરોધિત છે? બીજી વસ્તુ આર્ક માટેનું ટ્યુટોરિયલ જટિલ છે ઉદાહરણ તરીકે મેં ક્યારેય સુડો અથવા ય yર્ટ ફાયરવ usedલનો ઉપયોગ કર્યો નથી. જો કે તે સમજી શકાય છે. અથવા કદાચ કોઈ નવું yaourt લખે છે અને ભૂલ મળશે. મંજરો માટે તે વધુ યોગ્ય છે.
જેમ તમે @ ફિલિપ કહેશો તેમ, ટ્યુટોરીયલને અનુસરીને અને /etc/firehol/firehol.conf ને પેસ્ટમાં @ કૂકી દ્વારા આપવામાં આવેલા નિયમો ફાઇલ કરો, તમારી પાસે સિસ્ટમને મૂળભૂત સ્તરે સુરક્ષિત રાખવા માટે પહેલેથી જ એક સરળ ફાયરવallલ હશે. આ રૂપરેખાંકન કોઈપણ ડિસ્ટ્રો માટે કાર્ય કરે છે જ્યાં તમે ફાયરહોલ મૂકી શકો છો, દરેક ડિસ્ટ્રોની વિચિત્રતા સાથે તે તેની સેવાઓ વિવિધ રીતે સંભાળે છે (સિસ્વિનીટ દ્વારા ડેબિયન, સિસ્ટમવાળા વિમાન સાથે) અને સ્થાપન માટે, દરેકને જાણે છે કે તેમની પાસે શું છે, આર્કમાં તમારે આવશ્યક છે bianર અને યourtર્ટ રેપોનો ઉપયોગ કરો, ડેબિયનમાં officialફિશિયલ રાશિઓ પૂરતા છે, અને તેથી બીજા ઘણા લોકોમાં, તમારે ફક્ત રીપોઝીટરીઓમાં થોડું શોધવું પડશે અને ઇન્સ્ટોલેશન કમાન્ડને અનુકૂળ કરવું પડશે.
મને લાગે છે કે યુકીતોએ તમારી શંકાઓને પહેલાથી સ્પષ્ટ કરી દીધી છે.
હવે, સુડો અને યourtર્ટ વિશે, મારા ભાગ માટે હું સુડોને કોઈ સમસ્યા માનતો નથી, તમારે ફક્ત તે જોવાનું રહેશે કે જ્યારે તમે આર્કની બેઝ સિસ્ટમ ઇન્સ્ટોલ કરો છો ત્યારે તે ડિફ defaultલ્ટ રૂપે આવે છે; અને યourtર્ટ વૈકલ્પિક છે, તમે ટારબallલ ડાઉનલોડ કરી શકો છો, તેને અનઝિપ કરી શકો છો અને મેકપકજી -એસ.સી.થી સ્થાપિત કરી શકો છો
આભાર, હું નોંધ લઈશ.
કંઈક કે જે હું પોસ્ટમાં ઉમેરવાનું ભૂલી ગયો છું, પરંતુ હું તેને સંપાદિત કરી શકતો નથી.
https://www.grc.com/x/ne.dll?bh0bkyd2
તે સાઇટ પર તમે તમારા ફાયરવ testલને ચકાસી શકો છો Y (યુકિટરુનો ફરી આભાર).
મેં તે પરીક્ષણો મારા ઝુબન્ટુ પર ચલાવ્યા અને બધું સંપૂર્ણ બહાર આવ્યું! લિનક્સ વાપરવા માટે કેવો આનંદ છે !!! 😀
તે બધું ખૂબ સારું છે ... પરંતુ સૌથી અગત્યની વસ્તુ ગુમ છે; તમારે સમજાવવું પડશે કે નિયમો કેવી રીતે બનાવવામાં આવે છે !!, તેનો અર્થ શું છે, નવી કેવી રીતે બનાવવી ... જો તેનો ખુલાસો ન કરવામાં આવે તો તમે જે મૂકશો તેનો થોડો ઉપયોગ થશે: - /
નવા નિયમો બનાવવાનું સરળ છે, ફાયરહોલ દસ્તાવેજીકરણ કસ્ટમ નિયમો બનાવવાના સંદર્ભમાં સ્પષ્ટ અને ખૂબ જ સચોટ છે, તેથી થોડું વાંચવું તમારા માટે તેને કસ્ટમાઇઝ કરવું અને તમારી જરૂરિયાતોને અનુરૂપ બનાવવા માટે સરળ બનાવશે.
મને લાગે છે કે ફોરમમાં મારી જેવી @ કૂકી પોસ્ટનું પ્રારંભિક કારણ, વપરાશકર્તાઓ અને વાચકોને એક સાધન આપવાનું હતું જે તેમના કમ્પ્યુટરને થોડી વધુ સલામતી આપવા માટે પરવાનગી આપે છે, બધા મૂળભૂત સ્તરે. બાકી તમારી પાસે તમારી જરૂરિયાતોને અનુકૂળ થવા માટે અડચણ બાકી છે.
જો તમે યુકીટો ટ્યુટોરિયલની લિંક વાંચશો તો તમને ખ્યાલ આવશે કે હેતુ જાહેર કરવા અને મૂળભૂત ફાયરવwલની ગોઠવણી કરવાનો છે. મેં સ્પષ્ટ કર્યું કે મારી પોસ્ટ ફક્ત આર્ક પર કેન્દ્રિત એક નકલ હતી.
અને આ 'માનવો માટે' છે? o_O
આર્ક પર ગુફ્ડબ્લ્યુ અજમાવો: https://aur.archlinux.org/packages/gufw/ >> સ્થિતિ પર ક્લિક કરો. અથવા યુએફડબ્લ્યુ જો તમે ટર્મિનલ પસંદ કરો છો: સુડો યુએફડબલ્યુ સક્ષમ
જો તમે સામાન્ય વપરાશકર્તા છો તો તમે પહેલેથી જ સુરક્ષિત છો. તે 'મનુષ્ય માટે' છે
ફાયરહોલ એ આઇપીટેબલ્સ માટે ખરેખર એક ફ્રન્ટ-એન્ડ છે અને જો આપણે તેને પછીના સાથે સરખાવીએ, તો તે એકદમ માનવ છે 😀
હું યુએફડબ્લ્યુ (ગુફ્ડબ્લ્યુ તેનો એક ઇન્ટરફેસ છે) સુરક્ષાની દ્રષ્ટિએ ખરાબ વિકલ્પ તરીકે. કારણ: મેં યુએફડબ્લ્યુમાં લખેલા વધુ સુરક્ષા નિયમો માટે, હું મારા ફાયરવ ofલના પરીક્ષણોમાં અને વેબ દ્વારા બંનેને ટાળી શક્યો નહીં, જેમ કે મેં એનએમએપનો ઉપયોગ કર્યો, અવહી-ડિમન અને એક્ઝિમ 4 જેવી સેવાઓ ખુલ્લી દેખાશે, અને ફક્ત એક "સ્ટીલ્થ" એટેક મારી સિસ્ટમ, કર્નલ અને સેવાઓ જે તે ચાલતી હતી તેના નાના લક્ષણો જાણવા માટે પૂરતું હતું, જે કંઈક ફાયરહોલ અથવા આર્નોના ફાયરવ usingલનો ઉપયોગ કરીને મને થયું નથી.
ઠીક છે, હું તમારા વિશે જાણતો નથી, પરંતુ જેમ જેમ મેં ઉપર લખ્યું છે, હું ઝુબન્ટુનો ઉપયોગ કરું છું અને મારું ફાયરવ Gલ GUFW સાથે જાય છે અને મેં લેખકની સમસ્યાઓ વિના લીંકની બધી પરીક્ષાઓ પાસ કરી. બધા ચોરી. કંઈ ખોલ્યું નથી. તેથી, મારા અનુભવમાં ufw (અને તેથી gufw) તેઓ મારા માટે મહાન છે. હું અન્ય ફાયરવોલ નિયંત્રણ મોડ્સનો ઉપયોગ કરવા માટે ટીકા કરતો નથી, પરંતુ ગુફડબ્લ્યુ દોષરહિત કામ કરે છે અને સુરક્ષાના સારા પરિણામો આપે છે.
જો તમારી પાસે કોઈ પરીક્ષણો છે જે તમને લાગે છે કે તે મારી સિસ્ટમમાં નબળાઈઓ ફેંકી શકે છે, તો તે કઇ છે તે મને કહો અને હું રાજીખુશીથી અહીં ચલાવીશ અને તમને પરિણામ જણાવીશ.
નીચે હું યુએફડબલ્યુના વિષય પર કંઈક ટિપ્પણી કરું છું, જ્યાં હું કહું છું કે ઉબન્ટુ 2008 હાર્ડી હેરોનનો ઉપયોગ કરીને, મેં ભૂલ 8.04 માં જોઇ હતી. તેઓએ પહેલાથી શું સુધાર્યું છે? મોટે ભાગે વસ્તુ એવી છે કે તે આવું છે, તેથી ચિંતા કરવાનું કોઈ કારણ નથી, પરંતુ તેમ છતાં, તેનો અર્થ એ નથી કે બગ ત્યાં હતો અને હું તેનો પુરાવો આપી શકું, તેમ છતાં તે મૃત્યુ પામે તે ખરાબ વસ્તુ ન હતી, મેં ફક્ત બંધ કર્યું રાક્ષસો avahi-daemon અને exim4, અને પહેલાથી જ સમસ્યાનો હલ. સૌથી વિચિત્ર બાબત એ છે કે ફક્ત તે બે પ્રક્રિયામાં જ સમસ્યા હતી.
મેં આ હકીકતનો અંગત ટુચકો તરીકે ઉલ્લેખ કર્યો, અને જ્યારે મેં કહ્યું: same હું ધ્યાનમાં લઈશ ... »
શુભેચ્છાઓ 🙂
+1
@ યુકીટરુ: તમે તેને તમારા પોતાના કમ્પ્યુટરથી અજમાવ્યો છે? જો તમે તમારા પીસીથી નજર કરી રહ્યા છો, તો તે સામાન્ય છે કે તમે એક્સ સર્વિસ પોર્ટને canક્સેસ કરી શકો છો, કારણ કે ટ્રાફિક જે અવરોધિત છે તે નેટવર્કનું છે, લોકલહોસ્ટ નહીં:
http://www.ubuntu-es.org/node/140650#.UgJZ3cUyYZg
https://answers.launchpad.net/gui-ufw/+question/194272
જો નહીં, તો કૃપા કરીને બગ રીપોર્ટ કરો
શુભેચ્છાઓ 🙂
Nmap ના કિસ્સામાં લેન નેટવર્કનો ઉપયોગ કરતા બીજા કમ્પ્યુટરથી અને આ પૃષ્ઠનો ઉપયોગ કરીને વેબ દ્વારા https://www.grc.com/x/ne.dll?bh0bkyd2કસ્ટમ બંદરો વિકલ્પનો ઉપયોગ કરીને, તેઓ બંને સંમત થયા કે અવહી અને એક્ઝિમ 4 નેટથી સાંભળી રહ્યા છે, તેમ છતાં યુએફડબ્લ્યુએ તેમના બ્લ blકિંગને ગોઠવેલું છે.
અવહી-ડિમન અને એક્ઝિમ 4 ની થોડી વિગત મેં તેને ફક્ત સેવાઓને અક્ષમ કરીને હલ કરી અને તે જ છે ... મેં તે સમયે ભૂલની જાણ કરી નથી, અને મને લાગે છે કે હવે તે કરવામાં અર્થપૂર્ણ નથી, કારણ કે તે હાર્ડીનો ઉપયોગ કરીને 2008 માં પાછા આવ્યા હતા.
2008 એ 5 વર્ષ પહેલાં હતું; હાર્ડી હેરોનથી લઈને રેરિંગ રીંગટેલ સુધી 10 * બન્ટસ છે. મારા ઝુબન્ટુ પર તે જ પરીક્ષણ, ગઈકાલે કરવામાં આવ્યું હતું અને આજે પુનરાવર્તન કરવામાં આવ્યું છે (Augustગસ્ટ 2013) દરેક બાબતમાં સંપૂર્ણ આપે છે. અને હું ફક્ત યુએફડબલ્યુનો ઉપયોગ કરું છું.
હું પુનરાવર્તન: તમારી પાસે કરવા માટે કોઈ વધારાના પરીક્ષણો છે? આનંદ સાથે હું તે કરું છું અને હું જાણ કરું છું કે આ બાજુમાંથી શું બહાર આવે છે.
Nmap નો ઉપયોગ કરીને તમારા પીસીનું SYN અને IDLE સ્કેન કરો, જે તમને તમારી સિસ્ટમ કેટલી સુરક્ષિત છે તેનો ખ્યાલ આપે છે.
Nmap માણસ પાસે 3000 થી વધુ લાઈનો છે. જો તમે મને આનંદ સાથે ચલાવવા માટે આદેશો આપો છો, તો હું તે કરીશ અને હું પરિણામની જાણ કરીશ.
હમ્મ હું એનએમએપ માટે 3000 મેન પાના વિશે જાણતો ન હતો. પરંતુ ઝેનમેપ એ હું તમને કહું તે કરવા માટે એક સહાયક છે, તે એનએમએપ માટે ગ્રાફિકલ ફ્રન્ટ-એન્ડ છે, પરંતુ હજી પણ એનએમએપ સાથે એસવાયએન સ્કેન કરવાનો વિકલ્પ -sS છે, જ્યારે નિષ્ક્રિય સ્કેન માટેનો વિકલ્પ -sI છે, પરંતુ ચોક્કસ આદેશ I હશે.
ઉબુન્ટુથી તમારા મશીનના આઇપી તરફ ઇશારો કરતી અન્ય મશીનમાંથી સ્કેન કરો, તેને તમારા પોતાના પીસીથી ન કરો, કારણ કે તે તે કેવી રીતે કાર્ય કરે છે તે નથી.
હા હા હા!! મારી ભૂલ લગભગ 3000 પૃષ્ઠો, જ્યારે તેઓ લાઇન હતી
મને ખબર નથી પણ મને લાગે છે કે GNU / Linux માં ફાયરવ manageલનું સંચાલન કરવા માટેનું GUI કંઈક અંશે સમજદાર હશે અને ઉબુન્ટુ અથવા Fedora ની જેમ આવરી લેવામાં આવેલ દરેક વસ્તુને છોડી દો નહીં, તમારે સારું xD હોવું જોઈએ, અથવા કંઈક ગોઠવવું જોઈએ આ ખૂની કિલર વિકલ્પો એક્સડી હજહજાજાજા એ બહુ ઓછું છે કે હું તેમની સાથે અને ખુલ્લા જેડીકે સાથે લડીશ પણ અંતે તમારે પણ ચુંબનનો સિધ્ધાંત રાખવો પડશે
Iptables સાથે ભૂતકાળમાં બનનારી બધી ઠોકરનો આભાર, આજે હું નીવરલ કાચો સમજી શકું છું, એટલે કે ફેક્ટરીમાંથી આવે છે ત્યારે તેની સાથે સીધો જ બોલી શકું છું.
અને તે કંઇક જટિલ નથી, તે શીખવું ખૂબ જ સરળ છે.
જો પોસ્ટનો લેખક મને મંજૂરી આપે છે, તો હું હાલમાં ઉપયોગમાં લેવાતી ફાયરવ scriptલ સ્ક્રિપ્ટનો ટૂંકસાર પોસ્ટ કરીશ.
## નિયમો સફાઈ
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## ડિફ defaultલ્ટ નીતિ સેટ કરો: DROP
iptables -P ઇનપુટ ડ્રROપ
iptables -P આઉટપુટ ડ્રROપ
iptables -P ફોરવર્ડ ડ્રોપ
# મર્યાદા વિના લોકલહોસ્ટ પર સંચાલન કરો
iptables -A INPUT -i lo -j સ્વીકારો
iptables -A આઉટપુટ -o lo -j સ્વીકારો
# મશીનને વેબ પર જવાની મંજૂરી આપો
iptables -A INPUT -p tcp -m tcp 80sport XNUMX -m conntrack tctstate RELATED, ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp -dport 80 -j ACCEPT
# પહેલેથી જ વેબસાઇટ્સ સુરક્ષિત કરવા માટે
iptables -A INPUT -p tcp -m tcp 443sport XNUMX -m conntrack tctstate RELATED, ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp -dport 443 -j ACCEPT
# અંદરથી પિંગની મંજૂરી આપો
iptables -A OUTPUT -p icmp –icmp-type ઇકો-વિનંતી -j ACCEPT
આઇપ્ટેબલ્સ -એ ઇનપુટ -p આઈએસએમપી આઇસીએમપી-પ્રકારનો ઇકો-રિપોર્ટ -j ACCEPT
# એસ.એસ.એચ. માટે સુરક્ષા
#iptables -I INPUT -p tcp 22dport 30 -m conntrack tsctstate NEW -m મર્યાદા -લિમિટ 5 મિનિટ / મિનિટ -લિમિટ-બર્સ્ટ XNUMX -m ટિપ્પણી - ટિપ્પણી "SSH-kick" -j ACCEPT
#iptables -A INPUT -p tcp -m tcp portdport 22 -j LOG –log-ઉપસર્ગ "SSH CCક્સેસ એટીએમપીટી:" –લોગ-સ્તર 4
#iptables -A INPUT -p tcp -m tcp -dport 22 -j DROP
બંદર પર આઉટગોઇંગ અને ઇનકમીંગ કનેક્શન્સને મંજૂરી આપવા માટે તાવીજ માટેના નિયમો
iptables -A INPUT -p tcp -m tcp portdport 16420 -m Conntrack –ctstate NEW -m ટિપ્પણી - ટિપ્પણી "aMule" -જે ACCEPT
iptables -A OUTPUT -p tcp -m tcp ortsport 16420 -m Conntrack tsctstate RELATED, ESTABLISHED -m ટિપ્પણી - ટિપ્પણી "aMule" -જે ACCEPT
iptables -A INPUT -p udp portdport 9995 -m ટિપ્પણી - ટિપ્પણી "aMule" -જે ACCEPT
iptables -A OUTPUT -p udp 9995sport XNUMX -j ACCEPT
iptables -A INPUT -p udp portdport 16423 -j ACCEPT
iptables -A OUTPUT -p udp 16423sport XNUMX -j ACCEPT
હવે થોડી સમજૂતી. જેમ તમે જોઈ શકો છો, ત્યાં મૂળભૂત રીતે ડ્રોપ નીતિ સાથેના નિયમો છે, કંઈપણ છોડતા નથી અને ટીમમાં પ્રવેશ કર્યા વિના તમે કહો છો.
તે પછી, બેઝિક્સ પસાર થાય છે, લોકલહોસ્ટ અને નેટવર્કનાં નેટવર્ક પર નેવિગેશન.
તમે જોઈ શકો છો કે સ્શેશ અને તાવીજ માટેના નિયમો પણ છે. જો તેઓ સારી રીતે જુએ છે કે તેઓ કેવી રીતે કરવામાં આવે છે, તો તેઓ ઇચ્છે છે તે અન્ય નિયમો બનાવી શકે છે.
યુક્તિ એ છે કે નિયમોની રચના જોવી અને ચોક્કસ પ્રકારના બંદર અથવા પ્રોટોકોલ પર લાગુ થવું, પછી ભલે તે udp અથવા tcp હોય.
હું આશા રાખું છું કે તમે આ સમજી શકશો કે મેં હમણાં જ અહીં પોસ્ટ કર્યું છે.
તમારે તેને સમજાવતી એક પોસ્ટ બનાવવી જોઈએ great મહાન હશે.
મને એક સવાલ છે. જો તમે મારા દ્વારા મુકાયેલા HTTP અને https ના જોડાણોને નકારવા માંગતા હો તો કિસ્સામાં:
સર્વર "HTTP https" ડ્રોપ?
અને તેથી કોઈપણ સેવા સાથે?
ગ્રાસિઅસ